Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3544-1 python-django

Säkerhetsbulletin från Debian

DSA-3544-1 python-django -- säkerhetsuppdatering

Rapporterat den:

2016-04-07

Berörda paket:

python-django

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 816434.
I Mitres CVE-förteckning: CVE-2016-2512, CVE-2016-2513.

Ytterligare information:

Flera sårbarheter har upptäckts i Django, ett högnivå Python-webbutvecklingsramverk. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2016-2512

  Mark Striemer upptäckte att några användartillhandahållna omdirigerings-URLer som innehåller grundläggande autentiseringsuppgifter hanteras felaktigt, vilket potentiellt tillåter en fjärrangripare att utföra en illasinnad omdirigering eller ett sajtöverskridande skriptangrepp.

• CVE-2016-2513

  Sjoerd Job Postmus upptäckte att Django tillåter användarnumrering genom timing-skillnader på lösenordshash work factor-uppgraderingar.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.5-1+deb7u16.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.7.7-1+deb8u4.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 1.9.4-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.9.4-1.

Vi rekommenderar att ni uppgraderar era python-django-paket.